[发明专利]在白盒场景中的椭圆曲线点乘设备和方法

说明书

提供了一种用于计算乘数(k)与椭圆曲线(E)上的基点(G)之间的所述椭圆曲线上的点乘(kG)以供在加密协议中使用的电子点乘设备(100)。所述设备被布置为：根据多个联合编码的第一集合(A_i)来计算盲基础乘数(A，131)，并且根据多个联合编码的第二集合(B_i)来计算多个盲辅助乘数(η_i，136)。所述设备通过计算以下两项的点加法来获得所述乘数(k)与所述基点(G)的所述点乘(141)(kG)：所述盲基础乘数与所述椭圆曲线上的所述基点的所述点乘，以及盲辅助乘数与辅助点的多个点乘。在执行盲椭圆曲线算术期间，以明文格式表示所述盲基础乘数和所述盲辅助乘数。

技术领域

本发明涉及点乘设备、点乘方法以及计算机可读介质。

背景技术

在许多应用中，软件用于对消息进行签名，其目的是证明消息和签名者的真实性。签名者使用私钥和消息摘要对消息进行签名。接收消息和签名的任何人都能够使用发送者的公钥来验证签名。安全签名系统应具有以下属性：

1、在给定公钥和其他公共系统参数的情况下，应很难找到私钥。

2、摘要应是很难找到冲突和原像的加密哈希。这样可以防止攻击者(例如通过在其自己的消息上重复使用来自发送者的旧消息的签名)冒充发送者。

3、私钥应保持私密，并且只有发送者才能知道。

前两个要求是黑盒安全性的要求。可以相信，诸如椭圆曲线数字签名算法(ECDSA)的签名方案可以满足这些要求。

第三个要求具有不同的性质，因为私钥可能有很多方式泄漏。以下是潜在泄漏的非详尽列表。

·系统可能要求签名者针对每个新签名输入签名者的私钥。如果系统上安装了密钥记录器，则攻击者就能够在签名者键入私钥时读取私钥。

·私钥可能被存储在文件系统上。即使正确设置了文件访问权限，系统上的恶意根用户也可能读取私钥。

·私钥可能以加密文件的方式被存储在文件系统上，在文件系统上，解密文件需要键入密码。设法安装了密钥记录器并有权限访问该文件的攻击者能够获得私钥。

·私钥可能以加密形式被存储在签名程序内部，并且仅在运行期间才能被解密。解密密钥也被存储在程序内部，并且只有当用户输入正确的密码时解密才能被激活。现在，攻击者能够通过利用操作系统中的漏洞来读取其他用户进程的内存，从而能够从内存中读取经解密的私钥。

期望保护诸如ECDSA协议的加密协议的实施方式以防私钥泄漏。

发明内容

发明人认识到，ECDSA协议中的许多漏洞是由ECDSA所包括的椭圆曲线上的点乘运算引起的。此外，椭圆曲线算术是许多其他加密协议的组成部分，这使得在白盒模型中更加期望具有提高的抵御攻击能力的点乘实施方式。

提供了一种用于计算乘数与椭圆曲线上的基点之间的所述椭圆曲线上的点乘以供在加密协议中使用的电子点乘设备。所述设备包括：

存储设备，其存储所述椭圆曲线上的所述基点和多个预先计算的辅助点，

输入接口，其被布置为接收输入消息的基哈希，

处理器电路，其被布置为：

从所述基哈希导出采取多个联合编码的第一集合和第二集合的形式的多个导出的哈希和所述乘数，所述第一集合包括多个导出的哈希，所述第一集合中的导出的哈希中的每个都是与所述乘数联合编码的，所述第二集合也包括多个导出的哈希，所述第二集合中的导出的哈希中的每个都是与所述多个导出的哈希中的至少另一个联合编码的，

根据多个联合编码的所述第一集合来计算盲基础乘数，